论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　而根节点r的pr(0)=y,使得主密钥y分散到对应于叶节点的私钥构件Di中.Decrypt算法对访问策略树自底向上采用递归过程解密每个节点,得到恢复明文所需的秘密值.图1中,AC满足策略Au1-KP,解密需计算的树中内部节点集合S为{AND}.

　　由于共享机制不支持属性的“非”操作,Ostrovsky等人采用Naor和Pinkas的广播撤销机制实现表示“非”的KP-ABE机制,策略表示更加灵活.但是该机制的密文和用户密钥大小,加解密开销都翻倍.Lewko和Waters改进OSW07的算法,缩短系统公钥长度,但增加了密文长度.

　　CP-ABE机制所示,密文采取树结构描述访问策略AC-CP,实现由消息发送方决定的访问控制策略.

　　CP-ABE中,用户密钥与属性集Au相关,只有Au满足AC-CP,用户才能解密密文.CP-ABE与基本ABE的算法不同,且PK和MK的长度与系统属性数目无关.CP-ABE的KeyGen算法采用两级随机掩码方式防止用户串谋,用户私钥构件与第2级随机数相关.Encrypt算法中,访问树的实现方式与KP-ABE的KeyGen算法相似,区别是pr(0)=s,并且叶节点对应密文构件Ei.Decrypt算法与KP-ABE类似,但双线性对操作数目翻倍.Au1满足AC-CP,解密需计算的树中内部节点集合S为{OR,2-of3,AND}.Ostrovsky等人也可以实现表示“非”的CP-ABE机制.

　　上述3种ABE算法在复杂性假设、策略灵活性和适用范围方面有着明显的差别.基本ABE和KP-ABE均采取DBDH假设,而CP-ABE[14]采取一般群模型.基本ABE仅表示门限策略,适用于对策略要求简单的应用.

　　KP-ABE和CP-ABE机制支持复杂策略,适用于细粒度数据共享的应用.KP-ABE机制中,用户规定对接收消息的要求,适用于查询类的应用,如付费电视系统、视频点播系统、数据库访问等;而CP-ABE机制中,发送方规定访问密文的策略,适合访问控制类应用,如社交网站的访问、电子医疗系统等.

　　1.3ABE难点问题与研究内容

　　算法的正确性和安全性、密钥管理、可扩展性是安全协议研究的核心问题.ABE机制采用访问结构表示访问策略,而策略的灵活性会导致访问结构的复杂.当前的KP-ABE实现了复杂的访问结构,支持灵活的访问策略,并基于DBDH假设达到CPA安全.而CP-ABE中策略的灵活性使得系统公钥设计复杂,限制了访问结构的设计.

　　ABE系统中,属性的动态性增加了密钥撤销的复杂性;且属性密钥与用户标识无关,导致无法预防和追踪非法用户持有合法用户的私钥(盗版密钥).而大规模的分布式应用需要ABE机制支持多机构协作,以满足可扩展性、容错性的需求.这些因素给ABE的研究带来了挑战,主要包括以下几个方面:

　　(1)CP-ABE机制访问结构设计难.KP-ABE的系统公钥以及与复杂访问结构相对应的用户私钥都由授权机构生成,密文的解密只由授权机构控制.而CP-ABE的系统公钥由授权机构产生,访问结构由加密者设计,密文的解密由授权机构与加密者共同控制.因此在CP-ABE中,访问结构的复杂度增加了系统公钥设计的复杂性,从1304JournalofSoftware软件学报Vol.22,No.6,June2011而增加了采用标准的复杂性假设证明机制安全性的难度,使访问结构的设计受限;(2)属性密钥撤销开销大.ABE中,用户密钥与属性相关,而系统的动态变化经常引起属性失效或从属关系变更,因而ABE属性密钥的撤销成为研究重点.ABE的属性密钥撤销分为3种情况:整个用户的撤销、用户的部分属性撤销和系统属性的撤销.撤销用户需作废该用户的密钥,而不影响未撤销的用户;撤销用户的某个属性,不能影响具备该属性其他用户的权限;系统属性撤销影响具有该属性的所有用户.ABE中,属性与用户的多对多关系增加了支持上述3种撤销需求的属性密钥撤销机制的设计难度;(3)ABE的密钥滥用.ABE中,用户私钥只与用户属性相关,而与用户的任何特定信息无关,无法防止盗版密钥的产生.除了用户会泄露自己的私钥外,掌握所有用户私钥的授权机构也可能透露合法用户的私钥.故在出现盗版密钥时,无法确定是用户还是授权机构泄露了私钥,责任追究困难.盗版密钥难预防和难界定责任,使ABE机制中的密钥滥用问题尤为突出,难以解决;(4)多机构下的用户授权.基本ABE属于单授权机构情形,不能满足大规模分布式应用对不同机构协作的需求;授权机构必须完全可信,违背了分布式应用要求信任分散的安全需求;授权机构管理系统中所有属性,为用户颁发密钥,工作量大,成为系统的性能瓶颈.多授权机构ABE不仅能够满足分布式应用的需求,而且可将单授权机构的信任和工作量分散到系统的所有授权机构上,故研究多机构情况下的ABE是必要的.但是,每个授权机构独立颁发密钥和用户密钥准确性的需求,给多机构ABE的研究带来了挑战.

　　2、CP-ABE的访问结构设计

　　CP-ABE机制中,加密者控制访问策略,策略越复杂,系统公钥设计得也越复杂,机制的安全性证明越困难.为达到标准复杂性假设下的CPA安全,CP-ABE的主要研究工作都集中于表示访问策略的访问结构的设计.根据采取的访问结构不同,CP-ABE的研究工作分为“与”门、访问树和LSSS矩阵3类.

　　2.1“与”门访问结构

　　Cheung和Newport[10]采用“与”门表示访问策略,首次在DBDH假设下证明CP-ABE机制的安全性.之后,Nishide等人[23]和Emura等人[24]在CN07[10]的基础上分别实现了策略的隐藏和效率的提高.

　　CN07最先基于DBDH假设构建CPA安全的CP-ABE机制,并采用CHK[25]技术扩展到CCA安全.引入文字i表示属性i与其非.i,访问结构为文字上的与门,不出现在与门中的系统属性用无关紧要表示.Setup算法中,随机选择y,t1,…,t3n∈Zq作为主密钥,系统公钥中的Tk由3部分组成,分别对应属性在与门中为正、非Research和无关紧要的情况.KeyGen算法为每个系统属性i选择一个随机数ri,令1,nyriirrDg.==Σ..=;并根据i与用户属性集Au的关系生成密钥构件ri/ti()Di=gi∈Au或ri/tni()DigiAu=+.;然后计算ri/t2niFig=+,组成用户私钥SK(D,{Di,Fi}i{1,...,n})∈=...Encrypt算法选择随机数s加密消息,并根据系统属性i与密文属性集AC的关系生成密文构件sEi=Ti(i∈AC且i=i)或sEiTn+i=(i∈AC且i=.i),而i.AC时,2sEiTn+i=.Decrypt算法根据AC中每个属性与Au的关系选择私钥构件进行解密运算.但访问结构仅实现了属性的“与”和“非”操作,并且PK和密文的大小以及加/解密时间都与系统属性数目线性相关,效率低.

　　基于DBDH和D-Linear假设,Nishide等人提出抗串谋的、策略隐藏的CP-ABE机制.系统属性有多个候选值.访问结构采用“与”门,每项可以是对应属性候选值集合的一个子集.发送方根据访问结构中各项对系统属性取值的不同要求产生两部分密文构件,Decrypt算法根据用户属性集中各项的值选择相应的密文构件解密,从而隐藏密文策略.采取BW07技术使接收方获取解密成功与否的消息,但增加了密文和用户密钥长度以及解密开销.Emura等人基于DBDH假设,采用与NYO08相同的访问结构,首次提出密文长度不变的CP-ABE机制,提高了算法效率.上述两种算法仅支持属性的与操作.

　　2.2树访问结构

　　提出CP-ABE机制的BSW07采用树结构表示灵活的访问控制策略,但其安全性证明仅基于一般的群假设.为了在DBDH假设下实现策略灵活的CP-ABE机制,Goyal等人和Liang等人采用有界树结构.Ibraimi等人采用一般的访问树结构,消除了界限条件的约束.

　　Goyal等人基于DBDH假设提出有界的密文-策略属性基加密(BCP-ABE),提供一种将KP-ABE转换为CP-ABE的方法,支持任何有界多项式大小的访问公式(包括与、或和门限操作).主要技术与GPSW06[7]类似.Setup算法规定参数(d,c),d为访问树最大高度,c为树中非叶节点的子女节点最大数目.同时,构造一棵(d,c)-通用访问树Tu,然后根据Tu生成PK和MK.安全性证明中,(d,c)控制了攻击者的询问能力.Encrypt算法将(d,c)-有限访问树T转换为(d,c)-有限标准访问树Tn,然后构造Tn到Tu的映射,最后根据映射完成加密.但是,标准型转换添加了大量非叶节点,增加了加密开销.T的叶节点高度越不整齐,系统效率越低,因此该方法实际并不可行.

　　Liang等人改进了BCP-AB机制,跳过中间标准型的转化,直接构造新的Tu.T直接映射到Tu,缩短了系统公钥、用户私钥和密文的长度,提高了加/解密算法的效率.在T的叶节点高度不整齐时,效果显著.另外,该机制采用DBDH假设和不可伪造的一次签名(onetimesignature,简称OTS)技术,扩展为CCA安全.

　　Ibraimi等人基于DBDH假设,提出一种新思路实现支持属性的与、或和门限操作的CP-ABE机制.首先实现一个基本CP-ABE机制,访问结构为由与、或节点组成的l叉树(l>1).Encrypt算法采用模加机制赋值给与节点的子女节点,直接将秘密值赋给或节点的子女节点.用户的私钥与一个随机数相关,能够防止用户串谋.然后采用Shamir的门限秘密共享技术扩展基本CP-ABE机制,得到支持属性与、或、门限操作的CP-ABE机制,其加解密开销低于BSW07.

　　2.3LSSS矩阵访问结构

　　与GJPS08采取转换方式实现CP-ABE不同,Waters首次直接实现强数值假设下支持属性与、或和门限操作的CP-ABE机制.采用判定性并行双线性Diffie-Hellman指数(decisionalParallelBilinearDiffie-HellmanExponent,简称DPBDHE)假设.采用LSSS访问结构(M,ρ),其中,M为..×n矩阵.Setup算法选择随机数a,α∈Zq,h1,…,hn∈G1,令MK=gα,PK=(g,e(g,g)α,ga,h1,…,hn).KeyGen选取随机数t,SK=(K=gαgat,L=gt,t|)Kx=hx.x∈Au.加密算法选择向量(,2,...,)nv=syyn∈Zq..产生密钥构件.使用CHK技术能够扩展为CCA安全.但W08[30]机制的密文长度、加/解密时间都随着访问结构的复杂性线性增长.

　　Lewko等人采用双系统加密机制,首先用完全可行的方法实现CCA安全的CP-ABE机制.访问结构也采取LSSS矩阵,支持任何单调的访问公式表示策略.先构造一次使用CP-ABE机制,规定公式中每个属性只能使用一次;然后将一次使用CP-ABE机制转换为属性多次使用的ABE机制,Setup算法规定了属性被使用的最大次数.转换不会增加密钥和密文的大小.与以往ABE机制不同,群G1,G2以3个不同素数的乘积作为阶,以这3个素数为阶的G1的子群具有正交性.该机制基于3个3素数子群判定问题(3P-SDP)证明了CCA安全.

　　2.4分析

　　综上所述,CN07首先提出在DBDH假设下可证安全的CP-ABE.W08最先在DPBDHE假设下实现支持属性“与”、“或”和“门限”操作的CP-ABE.LOST10提出可行的CCA安全的CP-ABE.对比分析了各机制采取的访问结构、支持的策略、安全证明采用的假设和ID模型.比较了各机制中系统公钥、主密钥、用户私钥和密文的长度.其中,密文的长度不计访问结构.表5比较了各机制的加解密时间.访问结构为(d,c)-有界树T的情形下(d≥1,c≥2),用Σ*表示将树*扩展为子女数目都为c的树所增节点集合,则|Tn||T|1Σ>Σ>.设LOST10中3个素数分别为q1,q2和q3,则群的阶q′=q1q2q3.ITHJ09中w′.Au为满足访问结构最小属性集.

　　在标准假设下,只有W08和ITHJ09支持属性的与、或、门限操作;只有CN07支持属性的非操作.EMNOS09的用户私钥和密文最短、加/解密开销最低;ITHJ09的加/解密开销比W08低;BSW07的系统公钥和主密钥与系统属性无关,具有最短的系统公钥;W08的主密钥最短.目前的研究工作仍没有实现基于标准数值理论假设的支持属性与、或、门限和非操作的CP-ABE机制.

　　3、ABE的属性撤销机制

　　ABE中的属性撤销分为用户撤销、用户属性撤销和系统属性撤销3种情况.撤销用户时,直接作废该用户的所有权限;撤销用户属性时,需保证该用户失去该属性对应的权限,而具有该属性的其余用户仍具备此权限;撤销系统属性时,所有与该属性相关的用户都受影响,执行起来比较简单.